Sicherheitslücken in zukünftigem Wi-Fi-Security-Standard entdeckt

11. April 2019 um 11:46
  • security
  • lücke
image

Die Wi-Fi-Alliance hat im --https://www.

Die Wi-Fi-Alliance hat im Januar 2018 das neue Security-Protokoll WPA3 angekündigt. Es soll das gegenwärtig in Wi-Fi-Netzwerken vorherrschende, 14 Jahre alte WPA2-Protokoll ablösen. Nachdem die dazugehörigen Standards veröffentlicht wurden, kommen nun erste Geräte auf den Markt, die es unterstützen.
Nun hat die Wi-Fi-Alliance bekannt gegeben, dass Security-Forscher einige schwerwiegende Sicherheitsprobleme in gewissen Geräten entdeckt haben, welche die WPA3-Variante "Personal" verwenden. Sie könnten es Angreifern erlauben, WLAN-Zugangspasswörter zu knacken oder ausgetauschte Daten zu entschlüsseln.
Die Wi-Fi-Alliance beeilt sich aber auch zu betonen, dass die Probleme relativ einfach durch Software-Updates von betroffenen Geräten behoben werden könnten. WPA3 befinde sich noch in der Entwicklung und die Standards seien von den Herstellern der betroffenen Geräte auch teilweise nicht korrekt umgesetzt worden.
Entdeckt wurden die Sicherheitsprobleme von Mathy Vanhoef von der New York University Abu Dhabi sowie Eyal Ronen von der Universität Tel Aviv. Es handelt sich einerseits um Downgrade Attacken. Das sind Möglichkeiten, die Geräte dazu zu bringen, ein niedrigeres Sicherheitsniveau zu verwenden als vorgesehen.
Zusätzlich schildern die Security-Forscher einige Varianten für Side-Channel-Attacken. Diese erlauben es durch die Analyse von gewissen Vorgängen, beispielsweise beim Handshake von Geräten, Hinweise auf das verwendete Passwort zu erhalten. Diese Hinweise erlauben dann laut den Forschern wiederum das eigentliche Passwort durch Partitioning Attacks herauszufinden, die relativ wenig Computing-Power beziehungsweise Zeit erfordern. Eine Partitioning Attacke funktioniere ähnlich wie eine Wörterbuch-Attacke. Um so ein 8-stelliges Passwort zu erraten hätten sie nur 40 Handshakes analysieren und für 125 Dollar Rechenkraft auf einer Amazon EC2-Instanz verbrauchen müssen.
Wer mehr zu den Angriffsmethoden wissen will, findet hier die Schilderung der beiden Forscher. (hjm)

Loading

Mehr zum Thema

image

Cyberkriminelle stehlen schützenswerte Daten von Franz Carl Weber

Die Ransomware-Bande Black Basta behauptet, über 700 GB an Daten des Spielwaren-Händlers ergaunert zu haben. Darunter finden sich vor allem persönliche Daten von Angestellten. Das Mutterhaus bestätigt den Angriff.

publiziert am 1.3.2024 1
image

Zürcher Securosys stellt Sicherheits­modul für Post-Quantum-Welt vor

Das neue Hardware-Sicherheitsmodul (HSM) unterstützt aktuelle wie auch die neuen Quanten-sicheren Algorithmen und soll sich so für den hybriden Einsatz eignen.

publiziert am 1.3.2024
image

Podcast: Sind die Bemühungen gegen Ransomware-Banden aussichtslos?

Lockbit und Alphv wurden zerschlagen – und waren Tage danach wieder aktiv und drohen mit Vergeltung. Wir diskutieren, ob die Bemühungen gegen Ransomware aussichtslos sind.

publiziert am 1.3.2024
image

Ivanti-Backdoors können Factory-Resets überleben

Das bisherige Integrity-Checker-Tool von Ivanti konnte zudem manche Infektionen nicht finden, warnt die US-Sicherheitsbehörde Cisa.

publiziert am 1.3.2024